２０１８年３月セミナー　現場担当者がコッソリ教える！情報漏えい３つのポイント

今回のセミナーでは情報漏洩をした企業が負う金銭的被害、情報漏えい発覚後に企業がするべき対応、また準備について、脆弱性についてお話をさせて頂きました。

第１部では情報漏えいした際にかかる被害金額の種類について株式会社ブループラス鈴木社長より、３つの事例を通してお話をして頂きました。１つめは重要情報を管理する方法がずさん、重要情報の持ち出し、重要情報の紛失が発生し、社員のご家族から訴訟を起こされた建設会社のケースを。２つめは重要情報にもランクがあり、賠償金額も違うということが漏えい後に判明し、顧客から訴訟を起こされた美容業の会社のケースを。３つめは顧客情報が外部に漏えいし、顧客から訴訟を起こされた呉服屋のケースを通して、全てを解決するまでに、どの項目で、どのくらいの金額がかかったかということをお話しして頂きました。

第二部では弊社代表が実際に漏えいした大学の情報漏えい事例を発生から終息まで時系列に沿って説明を致しました。PCがメールによりウイルス感染し、発覚まで６カ月を要したこと、発覚から終息までさらに６カ月弱を要したことをお伝えさせて頂きました。このケースは感染してすぐに外部へ通信が始まったこと、発覚した時にはすでにほとんどの情報が漏えいしていたと思われます。また初動対応でのつまずきから学ぶべき点があるということで、外部業者へ調査依頼をしたのが発覚から29日後だった点、報告内容の確認に27日費やした点、公表した順番が自らではなく、外部の新聞での発表が先になってしまった点、また発表までに131日掛かった点について、掘り下げていきました。結果として、自分たちが被害に遭ったら、どんな順番で、どんな対応をするのか明確にする必要があるので、インシデント対応ガイドラインが必要だということを呼びかけました。

また某大学の事例の中で登場した遠隔操作をイメージしてもらう為に、「RAT（Remote Administration Tool）」と2台のPCによる情報漏洩を想定したデモンストレーションを行いました。事例と同じ様にメールの添付ファイルを実行することによりRATが実行され、攻撃者（PC-1）から遠隔操作が開始されました。(PC-2)に保存されている重要情報を盗む様子、その後キーロガーを使用しパスーワードを盗む様子、最後にRAT自体を消去し、痕跡を消すという一連の流れを実際の環境で見て頂きました。その際に通信を監視する仕組みがあれば、PC-2からPC-1へファイルをダウンロードする際に発生する通信で何かしらの異常を検知することができた可能性、検知できていれば、また違った結果になったのではないかということも付け加えました。

その後、企業のインシデント対応を行う中で得た知識や経験を踏まえて、情報漏えいが発生したら企業はどんな対応をしていかなくてはいけないのかという事を、某大学の情報漏えい事件を元に、いつ誰がPCを感染させて、いつからいつまで不正な通信が行われ、いつ感染が発覚し、いつ記者発表をし、いつ終息したかということを具体的にお話ししました。結果論ですがこのタイミングでこの様な対応をしていたら、発覚の時期が６カ月以上早まり、それに伴う情報漏えい被害、調査費用も最小限に、なったのではということを伝えさせてもらいました。いずれにしても発生した事例を知ることで、どんな対策をしていかなくてはいけないかを認識してもらいました。

最後に脆弱性について、2017年に発生したwannacryのケースをもとにお話をさせて頂きました。いずれにしても本セミナー後に、自組織内で【ウチが情報漏えいしたら、いったいいくらかかるのだろう？】といったことや、【情報漏えいが起きたらなにをすればいいのか明確になっているのか？】等のことを話し合う機会に繋がってくれれば幸いです。お忙しい中、お集まりいただきました、各企業の皆様におかれましては心より感謝申し上げます。また弊社は社内向けのセミナーや、業界団体向けの研修も開催しておりますのでお気軽にご相談ください。